A Kereskedelmi Alkalmazottak Szakszervezetének Adatkezelési Szabályzata
1. Adatkezelő megnevezése:
Adatkezelő: Kereskedelmi Alkalmazottak Szakszervezete, képviseletében: Karsai Zoltán, elnök (a továbbiakban: KASZ)
Székhely: 1068 Budapest, Városligeti fasor 46-48.
Telefonszám, e-mail cím: +36305869098,
A KASZ adatvédelmi tisztviselője, elérhetőségei: Melis Beáta, +36306015592,
2. Fogalom meghatározások
„személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
„adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
„az adatkezelés korlátozása”: a tárolt személyes adatok megjelölése jövőbeli kezelésük korlátozása céljából;
„profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;
„álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni;
„nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;
„címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
„harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
„az érintett hozzájárulása”: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
„genetikai adat”: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered.
3. A személyes adatok kezelésére vonatkozó alapelvek
A GDPR 5. cikke rendelkezik a személyes adatok kezeléséről
A személyes adatok
a. kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b. gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik ezekkel a célokkal össze nem egyeztethető módon; („célhoz kötöttség”);
c. az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d. pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e. tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor („korlátozott tárolhatóság”);
f. kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
4. Az adatkezelés célja, jogalapja és a kezelt adatok köre
4.1. KASZ tagság nyilvántartása
A KASZ tagszervezés keretein belül csatlakozni kívánt tagok személyes adatait kezeli.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
A KASZ-hoz csatlakozó tagok adatainak nyilvántartásban való rögzítése. |
A GDPR 6. cikk (1) c) pontja alapján. Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése, azaz a Ptk. 3:63. § (1) bekezdése szerinti egyesült fogalmának való megfelelés – Az egyesület (…) nyilvántartott tagsággal rendelkező jogi személy. |
Az érintett
|
4.2. KASZ tagok igényeinek felmérése, tájékoztatás
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
A KASZ által rendezett eseményekről, tagsági kedvezményekről való tájékoztatás, igény felmérés. |
Bármikor visszavonható, hozzájáruláson alapuló adatkezelés a GDPR 6. cikk (1) bekezdés a) pontja alapján. |
Az érintett
|
4.3. KASZ kampányok, petíciók
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
A KASZ egyes társadalmi szerepvállalásához való csatlakozás |
Bármikor visszavonható, hozzájáruláson alapuló adatkezelés a GDPR 6. cikk (1) bekezdés a) pontja alapján. |
az érintett
|
4.4. A KASZ által nyújtott szolgáltatások
A KASZ, a tagjai számára fenntartott segélyezési és jutalmazási rendszerének működtetéséhez, az ezek által elérhető támogatások, kedvezmények igénybevételéhez az alábbi személyes adatokat kezeli:
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
Az adatkezelő által nyújtott kedvezményes szolgáltatások igénybevételének biztosítása. |
GDPR 6. cikk (1) bekezdés c) pontja, az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése alapján történik. (Art. 202. §) |
az érintett
|
4.5. Tagszervezés
A KASZ tagszervezés céljából kampány videók, képek és plakátok készítéséhez az alábbi adatokat kezeli.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
Az adatkezelő által nyújtott kedvezményes szolgáltatások népszerűsítése. |
Bármikor visszavonható, hozzájáruláson alapuló adatkezelés a GDPR 6. cikk (1) bekezdés a) pontja alapján. |
az érintett /érintettről készült
|
4.6. Állásajánlatokra beérkezett önéletrajzok
A KASZ az általa meghirdetett pozíciók betöltésére jelentkezettek önéletrajzait az alábbiak szerint kezeli.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
Az adatkezelő által meghirdetett munkakörre legalkalmasabb pályázó kiválasztásának biztosítása. |
Bármikor visszavonható, hozzájáruláson alapuló adatkezelés a GDPR 6. cikk (1) bekezdés a) pontja alapján. |
Az érintett
|
4.7. Munkavállalók személyes adatai
A KASZ a vele munkaviszonyban álló munkavállalók esetében az alábbi adatokat kezeli.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok köre |
|
A munkaviszonnyal összefüggő jogszabályi kötelezettségek teljesítése. |
A GDPR 6. cikk (1) bekezdés b) pontja alapján, az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; illetve a GDPR 6. cikk (1) bekezdés c) pontja az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése alapján történik. (Art. és Tbj. vonatkozó szakaszai) |
Az érintett
|
4.8. A KASZ működési folyamatai
A KASZ tisztségviselőinek adatait az alábbiak szerint kezeli.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
Az adatkezelő a törvényi előírásokban foglaltaknak való megfelelés okán, a működési folyamataiban rögzíti a tisztségviselőnek az adatait. |
A GDPR 6. cikk (1) bekezdés c) pontja szerint, az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése (Ptk., Civil törvény egyesületeket érintő rendelkezései) alapján történik. |
Az érintett
|
4.9. A KASZ által szervezett rendezvények
A KASZ rendezvényein jelenléti ívet vezet a meghívottak adatainak rögzítésével.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
Az adatkezelő által szervezett rendezvényeken történő regisztráció a részvételi arány rögzítéséhez és a részvétel későbbiekben való igazolásához szükséges. |
A GDPR 6. cikk (1) bekezdés b) pontja alapján az adatkezelés olyan szerződés teljesítéséhez, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez; továbbá a GDPR 6. cikk (1) bekezdés c) pontja alapján az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. |
az érintett
|
4.10. KASZ által rögzített kép-és hangfelvételek
A KASZ rendezvényein kép- és hangfelvételt készíthet.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
Az adatkezelő a rendezvényein kép- és hangfelvételt készíthet a KASZ népszerűsítése, valamint a tagság részére történő utólagos beszámolás céljából. Az elkészült felvételeket a KASZ saját weboldalán, valamint Facebook, Instagram oldalain teheti közzé. |
A Ptk. 2:48. § (1) bekezdése és a GDPR 6. cikk (1) bekezdés a) pontja alapján, bármikor visszavonható, hozzájáruláson alapuló adatkezelés. |
Az érintettről készített
|
4.11. Szerződések, Európai Uniós projektekben való közreműködés
A KASZ, a közte és az Európai Unióban működő más érdekvédelmi szervezetekkel kötött szerződések, egyezmények, illetve megvalósított pályázatok keretében személyes adatokat kezel.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
A KASZ a szerződésből eredő jogok gyakorlása és kötelezettségek teljesítése, valamint kapcsolattartás, az Európai Uniós projektek esetében elszámoltathatóság biztosítása céljából személyes adatokat kezel. |
A GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződés teljesítése és a 6. cikk (1) bekezdés c) pontja az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése alapján. |
A kapcsolattarásra feljogosított munkavállaló, a törvényes képviselő
a természetes személy
Egyes Európai Uniós projektekhez szükséges önéletrajzokban szereplő egyéb személyes adatok. |
4.12. Tagdíj fizetés ellenőrzése
A szakszervezetbe való belépés feltétele a tagdíj fizetési kötelezettség, amelynek ellenőrzése céljából a KASZ a tagdíjfizető tagok személyes adatait kezeli.
|
adatkezelés célja |
adatkezelés jogalapja |
kezelt személyes adatok |
|
A tagdíj megfizetésének ellenőrzése. |
A GDPR 6. cikk (1) c) pontja az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítése, azaz a Ptk. 3:63. § (1) bekezdésben foglaltak szerinti egyesült fogalmának való megfelelés – az egyesület (…) nyilvántartott tagsággal rendelkező jogi személy. Ebből következik, hogy a hiteles tagnyilvántartás vezetésének feltétele a tagság tagdíjfizetés útján való ellenőrzése. |
az érintett
|
5. A személyes adatok címzettjei és címzettek kategóriái
Az adatkezelő e tevékenysége során adatfeldolgozóként igénybe veszi továbbá:
- a MAKASZ Kft, 1195 Budapest, Üllői út 283.; Tel: 36 20-669-8043; fax: 36 1 357 64 64; E-mail: , amely az adatkezeléssel összefüggésben – a szakszervezet adatkezelőként fennálló felelősségét nem érintve – az alábbi tevékenységet végzi: Szakszervezeti tagsági-és egyben-egyedi vásárlási kedvezményeket biztosító kártya kibocsájtása. Az adatfeldolgozó az adatok kezeléséhez további adatfeldolgozót is igénybe vehet. Az adatkezeléséről részletesen az alábbi tájékoztatóból tájékozódhat. https://www.makasz.hu/adatkezelesi-szabalyzat.
- a Webergoline Kft., 1124 Budapest, Apor Vilmos tér 25-26., Tel: -+36 1 700 4170, E-mail: (a továbbiakban: adatfeldolgozó) képviseli: Horváth Attila, amely az adatkezeléssel összefüggésben – a szakszervezet adatkezelőként fennálló felelősségét nem érintve – az alábbi tevékenységet végzi: tagnyilvántartó szoftver kezelése; hírlevél kiküldése, petíció aláírásának rögzítése. Az adatfeldolgozó az adatok kezeléséhez további adatfeldolgozót is igénybe vehet. Az adatkezeléséről részletesen az alábbi tájékoztatóból tájékozódhat: https://www.webergoline.hu/adatvedelmi-szabalyzat
6. A személyes adatok tárolásának ideje
A szabályzat 4.2., 4.3, 4.5, 4.6. és 4.10. pontjaiban foglaltak szerint, a KASZ a személyes adatokat az érintett hozzájárulásának visszavonásáig kezeli. A hozzájárulás a email címre küldött levelében bármikor visszavonható.
A szabályzat további 4.1., 4.4., 4.7., 4.8., 4.9., 4.11. és 4.12. pontjaiban foglaltak szerint, a KASZ a személyes adatokat jogi kötelezettség vagy szerződés teljesítéséhez a vonatkozó jogszabályokban meghatározott ideig kezeli.
7. Az érintett adatkezeléssel kapcsolatos jogai
Határidő
A KASZ az érintett jogai gyakorlására irányuló kérelmét az annak beérkezésétől számított legfeljebb egy hónapon belül teljesíti.
8. Az adatkezeléssel kapcsolatos érintetti jogok
A hozzáféréshez való jog
Az érintett jogosult arra, hogy az 1. pontban megadott elérhetőségeken keresztül a KASZ-tól tájékoztatást kérjen arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy megismerje azt, hogy a KASZ mely személyes adatait, milyen jogalapon, milyen adatkezelési cél miatt; mennyi ideig kezeli. Az érintett továbbá jogosult arra, hogy tudomást szerezzen arról, hogy a KASZ kinek, mikor, milyen jogszabály alapján, mely személyes adataihoz biztosított hozzáférést vagy kinek továbbította a személyes adatait, és hogy azok milyen forrásból származnak.
A helyesbítéshez való jog
Az érintett személy az 1. pontban megadott elérhetőségeken keresztül kérheti, hogy a KASZ módosítsa valamely személyes adatát. Amennyiben az érintett hitelt érdemlően igazolni tudja a helyesbített adat pontosságát, a KASZ a kérést legfeljebb egy hónapon belül teljesíti, és erről az érintett általa megadott elérhetőségen értesíti.
A zároláshoz (adatkezelés korlátozásához) való jog
Az érintett személy az 1. pontban megadott elérhetőségeken keresztül kérheti, hogy a KASZ korlátozza személyes adatainak kezelését – az adatkezelés korlátozott jellegének egyértelmű jelölésével és az egyéb adatoktól elkülönített kezelés biztosításával – amennyiben vitatja a személyes adatai pontosságát. Ebben az esetben a KASZ arra az időtartamra korlátozza az adatkezelést, amíg ellenőrzi a személyes adatok pontosságát.
A törléshez való jog
A szabályzat 4.2., 4.3., 4.5.,4.6., és 4.10. pontjaiban található adatkezelési célok kapcsán – figyelemmel annak jogalapjára – az érintett jogosult arra, hogy kérésére a KASZ indokolatlan késedelem nélkül törölje az érintettre vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben az adatok kezelésére más jogalapja nem áll fenn.
Az adathordozhatósághoz való jog
A szabályzat 4.2., 4.3., 4.5. 4.6.és 4.10. pontjai szerinti célból történő adatkezelésekkel kapcsolatban – figyelemmel annak jogalapjára – az érintett az 1. pontban megadott elérhetőségeken keresztül jogosult arra, hogy a rá vonatkozó, általa a KASZ rendelkezésére bocsátott személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná a KASZ az automatizált módon megvalósított adatkezelési műveletekkel kapcsolatban.
9. Az adatkezelés biztonsága
A KASZ, azaz az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
a) a személyes adatok álnevesítését és titkosítását;
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
Továbbá intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.
10. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) c)ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) d)ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.
11. Az érintett tájékoztatása az adatvédelmi incidensről
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Adatvédelmi incidens bekövetkezése esetén az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és az incidens kezelésére tett intézkedések részleteit.
Nem szükséges az érintettet részletes tájékoztatása abban az esetben, ha:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták.
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását.
12. Adatbiztonsági intézkedések
12.1. Papír alapon tárolt személyes adatok kezelése
Az adatokat csak az arra jogosultak ismerhetik meg, azokhoz más nem férhet hozzá, más számára fel nem tárhatóak;
A dokumentumokat
a) jogosulatlan személy nem olvashatja, nem másolhatja, nem módosíthatja, nem távolíthatja el;
b) az arra jogosult személy jól zárható, száraz, tűzvédelmi és vagyonvédelmi berendezéssel ellátott helyiségben helyezi el;
c) csak az arra jogosultak kezelhetik
d) az arra jogosultak nem hagyhatják őrizetlenül, abba jogosulatlan nem tekinthet bele;
Az arra jogosult a nap folyamán csak úgy hagyhatja el az olyan helyiséget, ahol adatkezelés zajlik, hogy a rábízott adathordozókat elzárja, vagy a helyiséget bezárja;
Az adatkezelést végző a munkavégzés befejeztével a papíralapú adathordozót elzárja;
Amint a papíralapon tárolt adat kezelésének célja megvalósul a megőrzési ideig elzárva tartandó, amennyiben az őrzése nem szükséges, a papír megsemmisítésre kerül oly módon, hogy tartalmát ne lehessen visszaállítani, felismerni;
Az adathordozók megsemmisítését ellenőrizni, dokumentálni kell, valamint a dokumentációt visszakereshető módon kell megőrizni, illetve selejtezni.
12.2. Digitálisan tárolt személyes adatok biztonsága
Az adatkezelés során használt elektronikus adathordozók (számítógép, merevlemez, optikai adathordozó, mágneses adathordozó, nyomtató, multifunkciós gép háttértárai, SIM kártya, mobiltelefon, tablet, laptop, pendrive (a továbbiakban: elektronikus adathordozó) tárolt szakszervezettel kapcsolatos adatokkal, mint Adatkezelő a KASZ rendelkezik;
A KASZ tulajdonában lévő elektronikus adathordozókon a munkavégzéshez nem szükséges
személyes adatok (ideértve családi képek, videók, személyes dokumentumok) nem tárolhatók;
A KASZ tulajdonában lévő elektronikus adathordozón található adatokhoz csak érvényes, felhasználói névvel és jelszóval lehet csak hozzáférni.
Azok az elektronikus adathordozók, melyek szakszervezeti tagok adatait tartalmazzák, őrizetlenül nem maradhatnak;
Az elektronikus adathordozót jogosulatlan személy nem olvashatja, nem másolhatja, nem módosíthatja, nem távolíthatja el;
Elektronikus levelezés alkalmával a több címzett részére küldött levelek esetében a címzett e-mail címét el kell rejteni oly módon, hogy a címzettek csak a feladó e-mail címét láthassák.
A KASZ szerverén tárolt adatokhoz csak megfelelő jogosultsággal és csakis az arra kijelölt személyek férhetnek hozzá;
Abban az esetben, ha az adatkezelés célja megvalósult, az adatkezelés határideje letelt, úgy az
elektronikus adathordozókon tárolt fájlokat visszaállíthatatlanul törölni kell, oly módon, hogy azt senki se tudja visszanyerni.
A KASZ a hálózaton tárolt adatok esetében biztonsági mentésről és folyamatos vírusvédelemről gondoskodik.
13. Jogorvoslat
Az érintett a Nemzeti Adatvédelmi és Információszabadság Hatóságnál
levelezési cím: 1530 Budapest, Pf.: 5.,
telefon: +36 (1) 391-1400,
email: ,
honlap: www.naih.hu felületein bejelentéssel vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatai kezelésével kapcsolatban jogsérelem érte vagy annak közvetlen veszélye fennáll, illetve jogainak megsértése esetén bírósághoz is fordulhat.
Frissítve: 2022. 08. 15.
